Het Nationaal Cyber Security Centrum (NCSC) ziet weinig misbruik van de Log4j-kwetsbaarheid in Nederland, zo laat de overheidsinstantie tegenover Security.NL weten. Waakzaamheid blijft echter geboden. In dit artikel kijken we naar de laatste stand van zaken rond de Log4j-kwetsbaarheid. Voor een uitgebreide uitleg van de kwetsbaarheid zelf verwijzen we naar dit achtergrondartikel dat eerder op Security.NL verscheen.

Op 9 december verscheen erop Twitter een, inmiddels verwijderd, bericht over een kwetsbaarheid in Log4j. Tot dan toe niet echt heel bekende loggingsoftware waarin geen grote problemen waren gevonden. Op de securitypagina staan op dat moment slechts twee kwetsbaarheden vermeld die uit 2017 en 2020 dateren en een lage tot beperkte impact hebben. Zes weken sinds het verschijnen van de tweet dat remote code execution in Log4j mogelijk is, is het grote beveiligingslek in de loggingsoftware wereldwijd bekend geworden. De kwetsbaarheid verscheen in tal van nieuwsuitzendingen en analyses en verpestte ieders feestdagen, om Cisco te quoten.

Sinds 9 december is er het nodige gebeurd. Nadat de impact van de kwetsbaarheid duidelijk werd kwamen overheidsinstanties wereldwijd in actie. Zo organiseerden het Nationaal Cyber Security Center (NCSC) en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) webinars waar duizenden mensen aan deelnamen. De Duitse overheid besloot code rood af te geven, terwijl het Internet Storm Center (ISC) met code geel kwam. Inmiddels heeft Duitsland nu code geel afgegeven, terwijl het ISC weer terug is op "threat level" groen.

Nieuwe kwetsbaarheden

Kort na de aankondiging van de kwetsbaarheid, aangeduid als CVE-2021-44228, werden drie nieuwe beveiligingslekken in Log4j aangetroffen, namelijk CVE-2021-45046, CVE-2021-45105 en CVE-2021-44832. In eerste instantie werd gedacht dat het via CVE-2021-45046 alleen mogelijk was om een denial of service te veroorzaken, maar later bleek in bepaalde gevallen ook remote code execution mogelijk. CVE-2021-45105 maakt voor zover bekend alleen een denial of service mogelijk, terwijl CVE-2021-44832 een aanvaller op afstand code laat uitvoeren wanneer die toegang tot het Log4j-configuratiebestand heeft.

Onderzoekers verwachten dat er de komende tijd meer kwetsbaarheden in Log4j zullen worden gevonden. "Dit onderdeel heeft behoorlijk veel aandacht gekregen, dus het zou geen verrassing zijn dat er meer kwetsbaarheden worden aangekondigd, met of zonder een patch", zeggen onderzoekers van Trend Micro.

Populair

De totale omvang van de Log4j-kwetsbaarheid is nog altijd onbekend. Een groot aantal programma's maakt gebruik van de software en de lijst met kwetsbare producten groeit nog altijd. Zo houdt het NCSC een overzicht bij waarop honderden kwetsbare programma's staan. Google deed onderzoek naar Java-packages in de Maven Central-repository, de belangrijkste repository voor het vinden en downloaden van Java-packages. Ruim 35.000 packages bleken kwetsbaar door de Log4j-kwetsbaarheden, waarvan er inmiddels 4600 zijn gepatcht.

Volgens securitybedrijf Tenable is tien procent van de onderzochte servers, webapplicaties, containers en IoT-apparaten kwetsbaar. "Eén op de tien bedrijfsservers loopt risico, Eén op de tien webapplicaties en ga zo door. Eén op de tien van bijna elk aspect van onze digitale infrastructuur loopt het risico op misbruik via Log4Shell", stelde onderzoeker Amit Yoran.

Misbruik

Vanwege de impact van de kwetsbaarheid werd er gewaarschuwd voor grootschalig misbruik. Dat lijkt echter tot nu toe mee te vallen. Onderzoekers melden onder andere het gebruik van het beveiligingslek voor de installatie van coinminers, die de rekenkracht van het besmette systeem inzetten voor het delven van cryptovaluta.

Microsoft meldde dat ook statelijke actoren uit China, Iran, Noord-Korea en Turkije van de Log4j-kwetsbaarheid gebruikmaken. Een Chinese groep genaamd Hafnium zou via het beveiligingslek niet nader genoemde virtualisatie-infrastructuur aanvallen. Verdere details werden echter niet gedeeld. Tevens wordt het lek ook gebruikt door ransomwaregroepen nadat ze al toegang tot een organisatie hebben gekregen.

Nederland

In Nederland houdt het Nationaal Cyber Security Centrum de situatie in de gaten. Security.NL sprak met de overheidsinstantie over de laatste stand van zaken:

Wat voor misbruik heeft het NCSC tot nu toe waargenomen en wat was hiervan de impact?

De impact voor Nederlandse organisaties door daadwerkelijk actief misbruik lijkt tot nu toe beperkt. Het NCSC ziet sinds het het bekend worden van de kwetsbaarheid in Log4jbeperkt actief misbruik. Door de aard van deze kwetsbaarheid is misbruik op een later moment voorstelbaar.

Kan het NCSC iets zeggen over het aantal getroffen organisaties dat melding heeft gedaan of dat met het NCSC over Log4j contact heeft opgenomen?

Een kwetsbaarheid als Log4j leidt tot heel veel vragen bij organisaties. Het NCSC heeft daarom met een ongelooflijk aantal organisaties binnen Nederland en daarbuiten contact gehad in de afgelopen weken. Daarnaast heeft het NCSC een aantal meldingen gekregen van organisaties die daadwerkelijk misbruik vermoedden.

Wat vindt het NCSC van organisaties die in een reactie op Log4j hun websites offline halen of systemen 's nachts uitschakelen?

We juichen het toe als organisaties actief nadenken over het risico dat zij lopen, maar ik kan niet zeggen of het in algemene zin verstandig is of niet. Het is aan een individuele organisatie om een risicoafweging te maken en te bepalen hoe zij omgaan met systemen die mogelijk kwetsbaar zijn. Welke maatregelen zij moeten nemen verschilt echt van situatie tot situatie. Dit hangt bijvoorbeeld af van de waarde die een systeem voor een organisatie heeft en de locatie van een systeem in een netwerk.

Wat is op dit moment de stand van zaken met betrekking tot Log4j?

Organisaties hebben de afgelopen weken keihard gewerkt om te onderzoeken in welke software Log4j voor komt en welke maatregelen zij kunnen nemen om het risico op misbruik te bepreken. De situatie stabiliseert enigszins, gelukkig. Het NCSC ziet nog steeds beperkt actief misbruik, maar de impact binnen Nederland door actief misbruik lijkt tot nu toe mee te vallen.

We zijn inmiddels een goede maand verder en de impact lijkt mee te vallen. Wat zijn de verwachtingen voor de nabije toekomst?

De impact door actief misbruik binnen Nederland lijkt op dit moment mee te vallen. Dit lijkt het gevolg van veel Nederlandse organisaties die snel hebben gehandeld en ook minder vaak onnodig systemen aan het internet hebben hangen. Daarnaast is Log4j een kwetsbaarheid die weliswaar onderdeel is van ongelooflijk veel producten, maar niet op eenzelfde manier (en met hetzelfde effect) is te misbruiken in al die producten. Dat maakt een soort 'spray and pray' aanvallen lastig. Maar dit wil niet zeggen dat het hier bij blijft: misbruik met grote gevolgen voor organisaties blijft voorstelbaar en dat risico blijft nog lang bij ons.

Is er vanuit het NCSC samengewerkt met het bedrijfsleven, zo ja, hoe ziet deze samenwerking eruit?

Het NCSC heeft zeer intensief samengewerkt met private partners. Een mooi voorbeeld daarvan is onze samenwerking met Nederlandse cybersecuritybedrijven. We hebben doorlopend ons beeld uitgewisseld en hebben daardoor over en weer veel effectiever kunnen optreden. Of bijvoorbeeld de Github- repo die het NCSC is gestart om een plek te creëren waarop de gehele cybersecuritycommunity informatie, zoals bijvoorbeeld scanning- en mitigatietools, IoC's en een overzicht van kwetsbare software, met elkaar kunnen delen. Vanuit de hele wereld hebben onderzoekers, vendoren, cybersecuritybedrijven en nationale CERTs bijgedragen aan deze Github. Daar zijn we ongelooflijk trots op.

Wat adviseert het NCSC aan organisaties die nu nog geen actie hebben ondernomen?

Onderschat dit niet. Neem actie. Kijk op www.ncsc.nl/log4j wat je kunt doen.

Is het NCSC al bezig met onderzoek naar een mogelijk volgende "Log4j" en wat leert de Log4j-kwetsbaarheid ons voor de lange termijn in hoe we moeten omgaan met software en onderdelen zoals libraries en packages?

We zijn niet actief aan het zoeken naar dit soort componenten, maar het is aannemelijk dat ze er zijn. Als Log4j ons iets heeft geleerd, is het om nog beter grip te krijgen op de software die we gebruiken. Dat is heel logisch in theorie, maar in de praktijk een enorme uitdaging. Maar we kunnen deze waardevolle les niet verloren laten gaan. Daarnaast is het interessant om serieus werk te maken van een initiatief zoals de SBoM, de software bill of materials. Dat moet in eerste instantie echt uit de markt komen.